[pyar] cómo encripto las passwords de mi sistema?

Claudio Freire klaussfreire en gmail.com
Lun Jun 25 15:53:19 ART 2012


On Mon, Jun 25, 2012 at 4:39 AM, Marcos Dione <mdione en grulic.org.ar> wrote:
>    aquí un cortísimo-y-al-pié artículo que habla de qué algoritmo
> usar para almacernar las tabla de passwords de un sistema dado:
>
> http://codahale.com/how-to-safely-store-a-password/
>
>    la versión TL;DR (hay que ser vagos, eh?): usar bcrypt.

Sory, pero no necesariamente.

Hashes, pero no hashes planos, sino hashes específicamente diseñados
para eso, como PBKDF-n, que tienen un parámetro "iteraciones"
justamente diseñado para contrarrestar la fuerza bruta, funcionan tan
bien como bcrypt.

El problema es la ignorancia de quienes diseñan las bases de datos, no
la inexistencia de librerías y técnicas fuertes.

Mucho se ha dicho sobre la vulnerabilidad de passwords en la base de
datos, encriptados con des, hasheados con md5, sha, o lo que sea, y
los desarrolladores siguen usando esos métodos tan falibles.
Notablemente, es increíble la cantidad de bases de datos con passwords
en plano que hay dando vueltas por ahí.

Así que... si no sabés lo que hacés, **contratá a alguien que sí
sepa**. Hasta bcrypt puede ser malusado, como Sony mismo malusó ECC.



More information about the pyar mailing list